Silencioso pero mortal: el auge de los ataques sin clic

Seguridad móvil

¿Un compromiso de seguridad tan sigiloso que ni siquiera requiere su interacción? Sí, los ataques sin clic no requieren ninguna acción por tu parte, pero esto no significa que quedes vulnerable.

Mark Szabo

11 Dec 2023
 • 
,
3 minuto. leer

En un mundo de comunicación instantánea y acelerado por la noción cada vez más extendida de que si no estás conectado o disponible, puedes ser el extraño, la mensajería se ha convertido, en muchos sentidos, en una forma crucial de comunicación y conexión personal, especialmente para el generaciones más jóvenes.

En este contexto, a los ciberdelincuentes les puede resultar más fácil tener éxito con sus planes, ya que enviar mensajes a alguien es sencillo y el error humano puede facilitar el resto. Sin embargo, a veces ni siquiera es necesario un error humano. Nos adentramos en el ámbito de los ataques sin clic que, como su nombre indica, podrían señalar el fin de la era de los mensajes de phishing descaradamente obvios con sus divertidos errores gramaticales. ¿Pero es realmente así?

Espera, no hice nada

¿Qué son los ataques de cero clic? A diferencia de tu oportunidades de explotación tradicionales de engañar a los usuarios para que proporcionen acceso abriendo un archivo adjunto infectado o haciendo clic en un enlace fraudulento, este ataque no requiere ese tipo de interacción.

La mayoría de los ataques sin clic se basan en vulnerabilidades en aplicaciones, especialmente aquellos destinados a aplicaciones de mensajería, SMS o incluso correo electrónico. En consecuencia, si una aplicación en particular tiene una vulnerabilidad sin parchear, el atacante puede alterar su flujo de datos. Puede ser una imagen o un texto que estás a punto de enviar. Dentro de este medio, pueden ocultar datos manipulados que aprovechan una vulnerabilidad para ejecutar código malicioso sin su conocimiento.

Esta falta de interacción significa que es más difícil rastrear la actividad maliciosa, lo que facilita que los actores de amenazas evadan la detección; permitiendo la instalación de software espía, acosadoru otras formas de malware; y permitir a los delincuentes rastrear, monitorear y recopilar datos de un dispositivo infectado.

Por ejemplo, en 2019, fue descubrió que WhatsApp, una popular aplicación de mensajería, era vulnerable a un ataque particular sin clic, en el que una llamada perdida podía explotar una vulnerabilidad dentro del código de la aplicación. De esta manera, los atacantes pudieron comprometer el dispositivo en el que se encontraba la aplicación para infectarlo con software espía. Afortunadamente, los desarrolladores lograron parchear este, pero el caso muestra que incluso una llamada perdida pudo desencadenar una infección.

¿Existe alguna protección contra ataques de clic cero?

Cada vez más empresas se centran en abordar el problema de los cero clics. Por ejemplo, los teléfonos móviles Samsung ahora ofrecen una solución que protege preventivamente a los usuarios al limitar la exposición a amenazas invisibles disfrazadas de archivos adjuntos de imágenes, llamado Protector de mensajes de Samsung, una parte de su Knox plataforma de seguridad

SMG comprueba los archivos poco a poco y los procesa en un entorno controlado, un espacio aislado esencialmente para poner en cuarentena las imágenes del resto del sistema operativo, similar a una función que tienen muchas soluciones antivirus modernas.

Se une a las filas de soluciones de seguridad como Puerta explosiva de Apple, que verifica los datos dentro de iMessage de manera similar, evitando la interacción entre mensajes y sistema operativo al aislar la aplicación iMessage para que las amenazas tengan más dificultades para llegar fuera del servicio. Esta solución surgió después de que los expertos descubrieran una debilidad en iMessage que se utilizó para instalar software espía mercenario contra individuos, en su mayoría políticos y activistas, para leer sus mensajes de texto, escuchar llamadas, recopilar contraseñas, rastrear sus ubicaciones y acceder a sus micrófonos, cámaras y más: una pieza de malware bastante insidiosa, todo ello sin ninguna apariencia de interacción con el usuario.

Sin embargo, aún se debe tener precaución incluso con las soluciones anti-clic cero, ya que todavía puede haber vulnerabilidades que los actores de amenazas puedan explotar para obtener acceso a su dispositivo. Esto es especialmente cierto para los teléfonos con software desactualizado, ya que es menos probable que tengan vulnerabilidades parcheadas.

Empezando desde la zona cero

Si bien los ataques sin clic casi no requieren interacción y tienden a apuntar a personas de alto perfil o cualquier persona con cierta visibilidad pública, todavía existen algunos consejos básicos de ciberseguridad que pueden ser útiles para evitar este tipo de ataques:

• Mantenga sus dispositivos y aplicaciones actualizados, especialmente tan pronto como estén disponibles las actualizaciones de seguridad.
• Compre teléfonos de marcas que tengan un excelente historial de proporcionar actualizaciones (al menos incluyan actualizaciones de seguridad periódicas y durante al menos tres años).
• Intente ceñirse a las tiendas de aplicaciones oficiales, como Google Play o App Store de Apple, ya que auditan cualquier lanzamiento nuevo y, por lo tanto, es más probable que sean seguras.
• Si no estás utilizando una aplicación, elimínala y ten cuidado con imitadores de aplicaciones maliciosas.
• Haga una copia de seguridad de su dispositivo con regularidad para recuperar sus datos en caso de que necesite restablecerlo.
• Mejora tu seguridad con un antivirus móvil solution.
• En general, practica higiene de la ciberseguridad.

Otras lecturas:

un perspicaz entrevista sobre vulnerabilidades.

Más información sobre exploits sin clic.